Pourquoi une mise à jour du règlement eIDAS était-elle devenue nécessaire ?


Adoptée en 2014, la première version du règlement eIDAS (Electronic Identification, Authentication and Trust Services) avait pour objectif d’harmoniser au niveau européen les règles encadrant l’identification électronique et les services de confiance, c’est-à-dire des services numériques assurant l’intégrité, l’authenticité et la valeur juridique des échanges électroniques. 


Mais en une décennie, l’environnement numérique a profondément changé. L’essor des plateformes numériques, la généralisation des démarches en ligne, mais aussi la multiplication des fraudes identitaires et des cyberattaques, ont mis en évidence les limites du cadre initial. Parallèlement, l’Europe a adopté de nouvelles législations ambitieuses, telles que le RGPD (protection des données), le Cybersecurity Act, et plus récemment la directive NIS 2 (cybersécurité), qui imposent des exigences de sécurité renforcées.


Dans ce contexte, eIDAS 2.0, entré en vigueur en mai 2024, marque un tournant. Il vise à renforcer la souveraineté numérique européenne et à garantir un accès sécurisé, unifié et interopérable à l’identification en ligne.

Quels nouveaux services de confiance introduit eIDAS 2.0 ? 


La version initiale du règlement eIDAS encadrait déjà plusieurs services dits « de confiance » : la signature électronique, le cachet électronique, l’horodatage ou encore l’envoi d’un recommandé électronique. Ces services visent à garantir la fiabilité des transactions numériques, en assurant l’intégrité des données, l’authenticité des émetteurs et la non-répudiation des échanges.


Pour répondre aux usages numériques actuels, eIDAS 2.0 élargit le champ des services de confiance.

  • Service d'archivage électronique qualifié : Ce service assure la réception, le stockage, la consultation et la suppression sécurisée de documents et données électroniques, garantissant leur durabilité, lisibilité, intégrité, confidentialité et provenance pendant toute la durée de conservation. 
  • Attestations d'attributs qualifiés : Ces attestations électroniques ont le même effet juridique que des attestations délivrées légalement sur papier, tels qu'un diplôme, un mandat de signature ou un pouvoir de représentation. 
  • Dispositifs de signature à distance : eIDAS 2.0 encadre l'utilisation de services de gestion de dispositifs de création de signature électronique qualifiée à distance. Ces services permettent aux utilisateurs de déclencher une signature électronique qualifiée en ligne, sans posséder physiquement le support cryptographique, tout en maintenant un haut niveau de sécurité.
  • Registres électroniques qualifiés : Ces registres certifient l'origine, l'intégrité et la chronologie des données enregistrées, notamment dans des technologies telles que les blockchains, renforçant ainsi la confiance dans les solutions de traçabilité.


Ces nouveaux services renforcent la confiance numérique et ouvrent la voie à une automatisation plus large des démarches sécurisées en ligne. C’est dans cette logique qu’intervient le Portefeuille Européen d’Identité Numérique, conçu pour centraliser de manière sécurisée l’accès aux services numériques dans toute l’Union européenne.

Qu’est-ce que le Portefeuille Européen d’Identité Numérique et à quoi servira-t-il ?


Le Portefeuille Européen d’Identité Numérique, ou PEIN est une application sécurisée, délivrée ou reconnue par chaque État membre, permettant à tout citoyen européen de prouver son identité en ligne et hors ligne, d’accéder à des services numériques, ou encore de signer des documents avec une valeur légale reconnue dans toute l’Union européenne.


Concrètement, le PEIN permet à un individu de stocker, gérer et partager des données d’identification personnelle (nom, date de naissance, numéro de document officiel), mais aussi des attestations électroniques d’attributs telles que des diplômes, des certificats professionnels ou des mandats. Ces éléments pourront être présentés uniquement lorsque nécessaire, avec un haut niveau de contrôle sur les données partagées.


Le portefeuille pourra ainsi être utilisé dans des situations variées : ouverture d’un compte bancaire, inscription dans une université, location de véhicule, déclaration de revenus ou encore preuve de majorité pour accéder à certains services. Il s'agit donc d’un identifiant numérique universel, interopérable entre tous les États membres et reconnu par les grandes plateformes numériques, qui auront l’obligation de l’accepter. Au-delà de la simple identification, le PEIN pourra également intégrer des certificats de signature électronique qualifiée, permettant de signer à distance des contrats ou de valider des transactions.


L’enjeu pour les entreprises est désormais double : garantir la conformité avec ce nouveau cadre réglementaire, tout en assurant la sécurité et l’interopérabilité de leurs services numériques — sous peine de voir leur responsabilité engagée, voire de s’exposer à des sanctions en cas de manquement.

Comment eIDAS 2.0 encadre-t-il la responsabilité et les sanctions des prestataires de services de confiance ?


Avec eIDAS 2.0, l’UE franchit un cap en matière de gouvernance et de responsabilisation des prestataires de services de confiance (PSCO). Pour renforcer la sécurité des échanges numériques et la confiance des utilisateurs, la nouvelle version du règlement introduit un régime de sanctions harmonisé à l’échelle européenne. Désormais, tout prestataire, qu’il soit qualifié ou non, peut faire l’objet de sanctions administratives pouvant atteindre 5 millions d’euros ou 1 % du chiffre d’affaires mondial du groupe auquel il appartient


La responsabilité juridique diffère selon le niveau de qualification. Un prestataire non qualifié voit sa responsabilité engagée uniquement si la partie plaignante apporte la preuve de la faute. À l’inverse, un prestataire qualifié est présumé responsable en cas de défaillance de son service, sauf s’il peut démontrer la négligence de l’utilisateur. Cette approche renforce considérablement la crédibilité des prestataires qualifiés, tout en leur imposant un niveau d’exigence élevé.

Quelles sont les prochaines étapes pour la mise en œuvre d’eIDAS 2.0 dans les États membres ?


L’adoption d’eIDAS 2.0 en mai 2024 marque le point de départ d’un chantier réglementaire et technique ambitieux.
La première échéance concerne l’adoption des actes d’exécution, attendus d’ici mai 2025. Ces textes préciseront les normes techniques et les exigences de sécurité applicables, en particulier pour les nouveaux services de confiance et le Portefeuille Européen d’Identité Numérique (PEIN).


Parallèlement, chaque État membre devra mettre à disposition au moins un PEIN d’ici novembre 2026, accessible à tous les citoyens. Pour accompagner ce déploiement, des travaux sont en cours via des consortiums pilotes (comme Potential ou DC4EU), qui expérimentent les cas d’usage à grande échelle : identification bancaire, signature électronique, accès aux services publics ou encore gestion de l’identité organisationnelle.


Les prestataires de services de confiance, de leur côté, peuvent dès maintenant se préparer en s’appuyant sur les référentiels existants, comme ceux de l’ANSSI en France.

Anticipez eIDAS 2.0 avec LuxTrust


Depuis toujours, nous privilégions un niveau de sécurité élevé et une conformité structurelle, ce qui nous a permis d’être alignés avec les exigences d’eIDAS 2.0 avant même son entrée en vigueur. Cette anticipation nous permet de proposer, dès aujourd’hui, des services déjà compatibles avec le nouveau règlement. C’est le cas notamment de notre solution de signature qualifiée à distance ou de notre système d’archivage certifié NF 461 et HDS.


Pour répondre aux évolutions du cadre réglementaire, contactez nos experts dès aujourd’hui pour tirer pleinement parti des opportunités offertes par eIDAS 2.0.